Power BI 中的敏感度标签

本文介绍 Power BI 中 Microsoft Purview 信息保护中的敏感度标签的功能。

有关在租户上启用敏感度标签的信息(包括许可要求和先决条件),请参阅在 Power BI 中启用数据敏感度标签

有关如何将敏感度标签应用于 Power BI 内容和文件的信息,请参阅如何在 Power BI 中应用敏感度标签

向我们提供反馈

产品团队非常希望得到你对 Power BI 的信息保护功能及其与 Microsoft Purview 信息保护集成相关的反馈。 请帮助我们满足你的信息保护需求! 谢谢!

简介

Purview 信息保护中的敏感度标签为用户提供了一种简单的方法,可在不影响生产力或协作能力的情况下,在 Power BI 中对关键内容进行分类。 它们可以在 Power BI Desktop 和 Power BI 服务中应用,这样就可以从你开始开发内容到通过实时连接从 Excel 访问敏感数据,都可以保护这些敏感数据。 当你以 .pbix 文件形式在 Desktop 和服务之间来回移动内容时,将保留敏感度标签。

在 Power BI 服务中,敏感度标签可应用于语义模型、报表、仪表板和数据流。 如果标记的数据离开 Power BI(通过导出到 Excel、PowerPoint、PDF 或 .pbix 文件或通过其他支持的导出方案,如在 Excel 中分析或实时连接在 Excel 中的数据透视表),则 Power BI 会自动将标签应用于导出的文件,并根据标签的文件加密设置对其进行保护。 这样,即使你的敏感数据离开 Power BI,也能得到保护。

此外,可以在 Power BI Desktop 中将敏感度标签应用于 .pbix 文件,以确保数据和内容在 Power BI 外共享时是安全的(例如,这样只有组织内的用户才能打开已共享或附加在电子邮件中的机密 .pbix),甚至在将其发布到 Power BI 服务之前是安全的。 有关更多详细信息,请参阅使用敏感度标签应用加密来限制对内容的访问

应用于报表、仪表板、语义模型和数据流的敏感度标签在 Power BI 服务中的许多地方可见。 报表和仪表板上的敏感度标签也在 Power BI iOS 和 Android 移动应用以及嵌入式视觉对象中可见。 在 Desktop 中,可以在状态栏中看到敏感度标签。

借助 Power BI 管理门户中提供的保护指标报表,Power BI 管理员可完整查看 Power BI 租户中的敏感数据。 此外,Power BI 审核日志包含有关活动(如应用、删除和更改标签,以及查看报表、仪表板等)的敏感度标签信息,使 Power BI 和安全管理员能够查看敏感数据使用情况,以便监视和调查安全警报。

重要注意事项

在 Power BI 服务中,敏感度标签不影响对内容的访问。 对服务内容的访问完全由 Power BI 权限管理。 如果标签可见,则不会应用任何相关的加密设置(在 Microsoft Purview 合规门户内配置)。 它们仅适用于通过支持的导出路径(如导出到 Excel、PowerPoint 或 PDF 文件和下载到 .pbix)离开服务的数据。

在 Power BI Desktop 中,具有加密设置的敏感度标签的确会影响对内容的访问。 根据 .pbix 文件上敏感度标签的加密设置,如果用户没有足够的权限,将无法打开该文件。 此外,在 Desktop 中,当你保存工作时,你添加的任何敏感度标签及其关联的加密设置都将应用于保存的 .pbix 文件。

不在不支持的导出路径中应用敏感度标签和文件加密。 Power BI 管理员可以阻止从不支持的导出路径进行导出。

注意

有权访问报表的用户具有访问整个基础语义模型的权限,除非行级别安全性 (RLS) 限制其访问权限。 报表作者可使用敏感度标签对报表进行分类和标注。 如果敏感度标签具有保护设置,则当报表数据通过支持的导出路径(如导出到 Excel、PowerPoint 或 PDF,下载到 .pbix 和保存 (Desktop))离开 Power BI 时,Power BI 将应用这些保护设置。 只有经过授权的用户才能打开受保护的文件。

支持的导出路径

以下导出路径当前支持将敏感度标签及其关联的保护应用于离开 Power BI 服务的数据:

  • 导出到 Excel、PDF 文件和 PowerPoint。
  • Power BI 服务中的“在 Excel 中分析”,会触发通过实时连接到 Power BI 语义模型来下载 Excel 文件。
  • 通过实时连接到 Power BI 语义模型的 Excel 中的数据透视表,适用于具有 Microsoft 365 E3 及更高版本的用户。
  • 下载到 .pbix(服务)

注意

在 Power BI 服务中使用“下载 .pbix”时,如果下载的报表及其语义模型具有不同的标签,则会将更严格的标签应用于 .pbix 文件。

在 Power BI Desktop 中,“导出到 PDF”中的敏感度标签支持是默认启用的预览功能。 可以将其关闭。 有关详细信息,请参阅桌面注意事项和限制

敏感度标签在 Power BI 中的工作原理

向 Power BI 内容和文件应用敏感度标签时,类似于对资源应用标记,这样做具有以下优点:

  • 可自定义 - 可以为组织中不同级别的敏感内容创建类别,如个人、公共、一般、机密和高度机密。
  • 明文 - 由于标签为明文形式,因此用户可以轻松地根据敏感度标签指南了解如何处理内容。
  • 持久 - 向内容应用敏感度标签之后,在将内容导出到 Excel、PowerPoint 和 PDF 文件,下载到 .pbix 或保存(在 Desktop 中)时,将随内容一起导出标签,并成为应用和强制执行策略的基础。

以下是有关 Power BI 中的敏感度标签如何工作的快速示例。 下图显示了如何在 Power BI 服务中将敏感度标签应用于报表,然后如何将报表中的数据导出到 Excel 文件,最后如何在导出的文件中保留敏感度标签及其保护。

Animated gif showing application and persistence of sensitivity labels

应用于内容的敏感度标签与内容一起保留和漫游,如同在整个 Power BI 中使用和共享一样。 可以使用此标签生成使用情况报表并查看敏感内容的活动数据。

Power BI 中的敏感度标签

还可以在 Power BI Desktop 中应用敏感度标签。 这样就可以在首次开始开发内容时保护数据。 在 Desktop 中保存工作时,应用的敏感度标签以及任何关联的加密设置会应用于生成的 .pbix 文件。 如果标签具有加密设置,无论文件传输到哪里以及采用何种传输方式,它都会受到保护。 只有具有必需的 RMS 权限的用户才能将其打开。

注意

可能存在一些限制。 请参阅注意事项和限制

如果在 Desktop 中应用敏感度标签,则在将工作发布到服务时,或者当你将该工作的 .pbix 文件上传到该服务时,标签将与数据一起传送到服务中。 在该服务中,标签将应用于通过文件获取的语义模型和报表。 如果语义模型和报表已经具有敏感度标签,则可以选择保留这些标签或使用来自 Desktop 的标签覆盖它们。

如果上传之前从未发布到服务的 .pbix 文件,并且该文件具有与服务中已存在的报表或语义模型相同的名称,则只有当上传者具有更改标签所需的 RMS 权限时,上传才会成功。

反之亦然 - 当你在服务中下载到 .pbix,然后将 .pbix 加载到 Desktop 时,该服务中的标签将应用于已下载的 .pbix 文件,并将其加载到 Desktop。 如果服务中的报表和语义模型具有不同的标签,则这两者中更严格的标签将应用于下载的 .pbix 文件。

在 Desktop 中应用标签时,它会显示在状态栏中。

Screenshot of sensitivity label in Desktop status bar.

了解如何向 Power BI 内容和文件应用敏感度标签

创建新内容时敏感度标签的继承

在 Power BI 服务中创建新报表和仪表板时,它们会自动继承以前应用于父语义模型或报表的敏感度标签。 例如,在具有“高度机密”敏感度标签的语义模型上创建的新报表也会自动接收“高度机密”标签。

下图显示了语义模型的敏感度标签如何自动应用于在该语义模型上构建的新报表。

Animated gif showing inheritance of sensitivity labels

注意

如果出于某些原因而无法在新报表或仪表板上应用敏感度标签,则 Power BI 将不会阻止创建新项。

从数据源继承敏感度标签(预览)

Power BI 语义模型在连接到受支持数据源中具有敏感度标签的数据时可以继承这些标签,这样数据在进入 Power BI 后仍然处于已分类的安全状态。 目前支持 Azure Synapse Analytics(以前称为 SQL 数据仓库)和 Azure SQL 数据库。 请参阅从数据源继承敏感度标签,了解从数据源继承的工作原理以及为组织启用此功能的方法。

敏感度标签下游继承

当敏感度标签应用于 Power BI 服务中的语义模型或报表时,有可能使该标签向下延伸并自动应用于根据该语义模型或报表生成的内容。 此功能称为下游继承。

下游继承是 Power BI 的端到端信息保护解决方案中的一个关键环节。 下游集成结合来自数据源的继承、创建新内容时的继承、导出到文件时的继承,以及其他应用敏感度标签的功能,有助于确保敏感数据在 Power BI 的整个旅程中(从数据源到使用点),一直受到保护。

详细了解下游继承

数据丢失防护 (DLP) 策略

Power BI 利用 Microsoft 365 数据丢失防护使中央安全团队能够使用数据丢失防护策略在 Power BI 中实施组织的 DLP 策略。 请参阅 Power BI 数据丢失防护策略了解详细信息。

默认标签策略

为了帮助确保对敏感数据进行全面的保护和管理,组织可以为 Power BI 创建向未标记的内容自动应用默认敏感度标签的默认标签策略。 目前仅 Power BI Desktop 支持默认标签策略。 有关详细信息,请参阅默认标签策略

强制标签策略

为了帮助确保对敏感数据进行全面的保护和管理,组织可以要求用户向其敏感的 Power BI 内容应用标签。 此类策略称为强制标签策略。 有关详细信息,请参阅强制标签策略

用于以编程方式设置和删除标签的管理员 API

为了满足合规性要求,组织通常需要在 Power BI 中对所有敏感数据进行分类和标记。 对于在 Power BI 中具有大量数据的租户,此任务可能会很困难。 为了使任务更简单也更有效,Power BI 提供了管理员 REST API,管理员可以使用这些 API 以编程方式在大量 Power BI 项目上设置和删除敏感度标签。 参阅以下内容:

对敏感度标签上活动的审核

每当应用、更改或删除语义模型、报表、仪表板或数据流上的敏感度标签时,相关操作和活动都会记录在 Power BI 的审核日志中。 可以通过统一审核日志或 Power BI 活动日志跟踪这些活动。 有关详细信息,请参阅 Power BI 中敏感度标签的审核架构

导出的数据的敏感度标签和保护

将数据从 Power BI 导出到 Excel、PDF 文件(仅限服务)或 PowerPoint 文件时,Power BI 会自动对导出的文件应用敏感度标签,并根据标签的文件加密设置对其进行保护。 这样一来,无论敏感数据位于何处,都将受到保护。

从 Power BI 导出文件的用户有权根据敏感度标签设置访问和编辑该文件;他们不会获得该文件的所有者权限。

注意

在 Power BI 服务中使用“下载 .pbix”时,如果下载的报表及其语义模型具有不同的标签,则会将更严格的标签应用于 .pbix 文件。

在将数据导出到 .csv 文件或任何其他不支持的导出路径时,不会应用敏感度标签和保护。

对导出的文件应用敏感度标签和保护不会向文件添加内容标记。 但是,如果标签配置为应用内容标记,则在 Office 桌面应用中打开文件时,Azure 信息保护统一标签客户端会自动应用这些标记。 在为桌面、移动或 Web 应用使用内置标签时,不会自动应用内容标记。 有关更多详细信息,请参阅 Office 应用何时应用内容标记和加密

如果在将数据导出到文件时无法应用标签,导出将失败。 要检查导出失败的原因是否为无法应用标签,请在标题栏的中心选择报表或仪表板名称,然后在打开的信息下拉菜单中查看是否显示“无法加载敏感度标签”。 如果安全管理员取消发布或删除了应用的标签,或出现了临时系统问题,则可能会发生这种情况。

“在 Excel 中分析”的敏感度标签继承

当你通过实时连接到 Power BI 语义模型在 Excel 中创建数据透视表(可以从 Power BI 通过在 Excel 中分析或从 Excel 执行此操作)时,将继承语义模型的敏感度标签,并将其应用于 Excel 文件以及任何关联的保护。 如果语义模型上的标签稍后更改为更具限制性的标签,则会在数据刷新时自动更新应用于链接的 Excel 文件的标签。

Screenshot of Excel showing sensitivity label inherited from semantic model via live connection.

Excel 中手动设置的敏感度标签不会由语义模型的敏感度标签自动覆盖。 相反,横幅会通知你语义模型具有敏感度标签,并建议你应用该标签。

注意

如果语义模型的敏感度标签比 Excel 文件的敏感度标签限制少,则不会发生标签继承或更新。 Excel 文件永远不会继承限制性较低的敏感度标签。

嵌入式报表和仪表板中的敏感度标签保留性

可在商业应用程序(如 Microsoft Teams 和 SharePoint)或组织的网站中嵌入 Power BI 报表、仪表板和视觉对象。 如果嵌入的视觉对象、报表或仪表板应用了敏感度标签,则该敏感度标签会显示在嵌入视图中,并且在将数据导出到 Excel 时,该标签及其保护将保持不变。

Screen shot of report embedded in SharePoint Online

支持以下嵌入方案:

分页报表中的敏感度标签

敏感度标签可应用于托管在 Power BI 服务中的分页报表。 将分页报表上传到服务后,可以将该标签应用到报表,就像常规 Power BI 报表一样。 有关详细信息,请参阅分页报表的敏感度标签支持

部署管道中的敏感度标签

部署管道支持敏感度标签。 有关在各个阶段部署内容时如何处理敏感度标签的详细信息,请参阅部署管道文档

Power BI 移动应用中的敏感度标签

可在 Power BI 移动应用中的报表和仪表板上查看敏感度标签。 报表或仪表板名称附近的图标指示它具有敏感度标签,并且可在报表或仪表板的信息框中找到标签的类型及其说明。

Screen shot of sensitivity label in mobile app

标签更改执行

Power BI 将更改或删除具有文件加密设置的 Purview 信息保护中的敏感度标签的权限仅限制给授权用户。 有关详细信息,请参阅敏感度标签更改执行

受支持的云

全局(公有)云和以下国家/地区云中的租户支持敏感度标签:

目前,其他国家/地区云中不支持敏感度标签。

授权和要求

请参阅授权和要求

创建和管理敏感度标签

Purview 合规门户中创建和管理敏感度标签。

要在任一中心访问敏感度标签,请导航到“分类”“敏感度标签”。 这些敏感度标签可由多个 Microsoft 服务(例如 Azure 信息保护、Office 应用和 Office 365 服务)使用。

重要

如果你的组织使用 Azure 信息保护敏感度标签,则需要将这些标签迁移到前面列出的服务之一,以便在 Power BI 中使用它们。

若要帮助用户了解敏感度标签的含义或使用方式,可以提供一个“了解详细信息”URL,该 URL 显示在应用敏感度标签时显示的敏感度标签菜单底部。

Screenshot of custom help link for sensitivity labels

有关详细信息,请参阅敏感度标签的自定义帮助链接

注意事项和限制

常规

  • 请勿使用父标签。 父标签是具有子标签的标签。 不能应用父标签,但如果已应用的标签获取了子标签,则它可能会成为父标签。 如果遇到具有父标签的项,请应用相应的子标签。 若要更改父标签,必须对标签具有足够的使用权限

    如果某个项具有父标签,请注意以下行为:

    • 不会继承父标签。
    • 强制标签策略不会应用于具有父标签的项。 这意味着用户无需应用有意义的标签即可保存项,并且该项将转义旨在提升总体覆盖率的强制标签策略。
    • 如果尝试从具有父标签的项导出数据,导出将失败。
    • 可以发布具有父标签的 .pbix 文件,但如果父标签受到保护,发布将失败。 解决方案是应用合适的子标签。
  • 模板应用不支持数据敏感度标签。 模板应用创建者设置的敏感度标签在提取和安装应用时被删除,应用使用者添加到已安装模板应用项目的敏感度标签在更新应用时丢失(重置为无)。

  • 在 Power BI 服务中,如果语义模型的标签已从标签管理中心删除,则无法导出或下载该数据。 在 Excel 中分析中,将发出警告,并将数据导出到没有敏感度标签的 .odc 文件。

  • Power BI 不支持请勿转发用户定义HYOK 这三种保护类型的敏感度标签。 “请勿转发”和“用户定义”保护类型引用 Purview 合规门户内定义的标签。

  • 支持从加密的 Excel (.xlsx) 文件获取数据和刷新方案,除非文件存储在网关后面,在这种情况下,“获取数据/刷新”操作将失败。 从存储在网关后面且具有“未受保护”敏感度标签的 Excel 文件中获取数据和刷新操作将成功,但敏感度标签不会被继承。 有关详细信息,请参阅从数据源继承敏感度标签

  • Power BI 中的信息保护不支持 B2B 和多租户场景。

Power BI 服务

  • 敏感度标签只能应用于仪表板、报表、语义模型、数据流和分页报表。 它们当前不可用于工作簿。

  • Power BI 资产上的敏感度标签在工作区列表、世系、收藏夹、最近使用和应用视图中可见。这些标签目前在“与我共享”视图中不可见。 但请注意,应用于 Power BI 资产的标签(即使不可见)将始终保留在导出到 Excel、PowerPoint、PDF 和 PBIX 文件中的数据上。

  • 支持导入 OneDrive 或 SharePoint Online 中存储的带敏感度标记的 .pbix 文件(受保护和未受保护),并支持从此类文件中按需和自动刷新语义模型,但以下情况除外:

    • 受保护的实时连接 .pbix 文件和受保护的 Azure Analysis Services .pbix 文件。 刷新将失败。 既不更新报表内容,也不更新标签。
    • 标记为未受保护的 Live Connect .pbix 文件:将更新报表内容,但不更新标签。
    • .pbix 文件应用了语义模型所有者没有使用权限的新敏感度标签时。 在这种情况下,刷新将失败。 既不更新报表内容,也不更新标签。
    • 如果 OneDrive/SharePoint 的语义模型所有者的访问令牌已过期。 在这种情况下,刷新将失败。 既不更新报表内容,也不更新标签。

Power BI Desktop

  • 适用于 Power BI 报表服务器的 Power BI Desktop 不支持信息保护。 如果尝试打开受保护的 .pbix 文件,该文件将无法打开,并且你会收到一条错误消息。 带有敏感度标签的未加密 .pbix 文件可以正常打开。

  • 拥有免费许可证的用户无法打开受保护的 .pbix 文件。

  • 如需打开受保护的 .pbix 文件,获得相应许可的用户还必须具有相关标签的完全控制和/或导出使用权限查看更多详细信息

    设置标签的用户具有“完全控制”权限,除非连接失败并且无法进行身份验证,否则该用户绝不会被锁定。

    在极少数情况下,除了设置标签的用户以外,没有用户拥有相关标签的必要使用权限。 如果该用户离开组织或更改其在组织内的别名,则对 .pbix 文件的所有访问权限都将丢失。 在这种情况下,重新获取文件访问权限的解决方案是使用设置/删除敏感度标签管理 API 更改或删除文件上的敏感度标签。 联系 Power BI 管理员寻求帮助(只有管理员可以运行管理 API)。

  • 受保护的 .pbix 文件的“发布”或“获取数据”要求 .pbix 文件上的标签位于用户的标签策略中。 如果标签不在用户的标签策略中,则“发布”或“获取数据”操作将失败。

  • Power BI 支持通过在服务主体下运行的 API 将具有不受保护的敏感度标签的 .pbix 文件发布或导入到服务中。 不支持通过在服务主体下运行的 API 将具有受保护的敏感度标签的 .pbix 文件发布或导入到服务中,该操作会失败。 为了缓解问题,用户可以删除标签,然后使用服务主体进行发布。

  • Power BI Desktop 用户可能会在 Internet 连接丢失时(例如在脱机后)保存工作时遇到问题。 在没有 Internet 连接的情况下,与敏感度标签和权限管理相关的一些操作可能无法正确完成。 在这种情况下,建议重新联机,然后再次尝试保存。

  • 通常,当你使用应用加密的敏感度标签保护文件时,最好也使用其他加密方法,例如页面文件加密、NTFS 加密、BitLocker 实例、反恶意软件等。

  • 临时文件不加密。

  • “在桌面中导出到 PDF”支持敏感度标签作为默认启用的预览功能。 若要关闭此预览功能,请转到“文件”>“选项和设置”>“选项”>“预览功能”,然后取消选中“在导出的 PDF 上启用设置敏感度标签”。 如果关闭预览功能,当你将具有敏感度标签的文件导出到 PDF,PDF 将不会收到标签,并且不会应用保护。

  • 如果使用不带标签的 .pbix 文件覆盖服务中已标记的语义模型或报表,则将保留服务中的标签。

本文概述了 Power BI 中的数据保护。 以下文章提供了有关 Power BI 中的数据保护的进一步详细信息。